问题描述
我无法将OWASP ZAP应用程序配置为登录并扫描需要身份验证的页面的问题。
我的页面是内置的Django管理页面。
我已经按照此页面上的说明录制了脚本: :
该脚本可以登录。
我已将其设置为基于脚本的身份验证
登录URL: : : 方法:POST
登录指示器正则表达式:\\ Qlogout \\ E注销指示器正则表达式:\\ Q / admin / \\ E
我不确定是否必须添加用户,但是我已经添加了它。
会话管理:基于Cookie(也基于HTTP尝试过)
当我单击“攻击扫描/蜘蛛”时,扫描的页面仅是不需要身份验证的页面。 例如:/ admin / logout /页面未找到
请让我知道我做错了什么?
谢谢
1楼
看看此FAQ,尤其是“诊断问题”部分: :
为了完整起见,在此复制该部分:
如果未启用“禁用强制用户模式-单击以启用”按钮,则您尚未配置足够的信息以供ZAP进行身份验证-请仔细检查是否已执行上述所有步骤。
如果您已启用强制用户模式,但在访问应用程序时仍未登录,请在“历史记录”选项卡中查看请求:
- 如果没有登录请求,则您可能未选择合适的“已登录/退出”指示器,请尝试对其进行更改然后重试
- 如果有登录请求,请查看请求和响应,看看能否确定登录失败的原因-您可能需要更改请求,甚至发出多个请求
如果您需要发出多个登录请求,那么最好的选择是记录一个Zest身份验证脚本并首先进行隔离测试。